Pendant ce temps, les chercheurs du Project Zero de Google ont signalé 18 vulnérabilités zero-day dans les modems Exynos fabriqués par Samsung. Les quatre plus graves – CVE-2023-24033, CVE-2023-26496, CVE-2023-26497 et CVE-2023-26498 – permettent l’exécution de code à distance d’Internet à la bande de base, ont écrit les chercheurs dans un blog. “Les tests menés par Project Zero confirment que les quatre vulnérabilités permettent à un attaquant de compromettre à distance un téléphone au niveau de la bande de base sans interaction de l’utilisateur, et exigent seulement que l’attaquant connaisse le numéro de téléphone de la victime”, ont-ils écrit.
Les appareils concernés incluent ceux des séries S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 et A04, ainsi que les séries Pixel 6 et Pixel 7 de Google.
Les délais de mise à jour des correctifs varient selon le fabricant, mais les appareils Pixel concernés ont reçu un correctif pour les quatre graves vulnérabilités d’exécution de code à distance entre Internet et la bande de base. En attendant, les utilisateurs disposant d’appareils concernés peuvent se protéger en désactivant les appels Wi-Fi et la voix sur LTE (VoLTE) dans les paramètres de leur appareil, a déclaré Google.
Google Chrome
Google a publié Chrome 111 de son navigateur populaire, corrigeant huit failles de sécurité, dont sept sont des bogues de sécurité de la mémoire avec un indice de gravité élevé. Quatre vulnérabilités d’utilisation après libération incluent un problème de haute gravité suivi comme CVE-2023-1528 dans les mots de passe et CVE-2023-1529, une faille d’accès à la mémoire hors limites dans WebHID.
Pendant ce temps, CVE-2023-1530 est un bogue d’utilisation après libération dans PDF signalé par le National Cyber Security Centre du Royaume-Uni, et CVE-2023-1531 est une vulnérabilité d’utilisation après libération de haute gravité dans ANGLE.
Aucun des problèmes n’est connu de Google pour avoir été utilisé dans des attaques, mais compte tenu de leur impact, il est logique de mettre à jour Chrome lorsque vous le pouvez.
Cisco
Le géant des logiciels d’entreprise Cisco a publié le pack de sécurité semestriel pour ses logiciels IOS et IOS XE, corrigeant 10 vulnérabilités. Six des problèmes résolus par Cisco sont considérés comme ayant un impact élevé, notamment CVE-2023-20080, une faille de déni de service, et CVE-2023-20065, un bogue d’élévation de privilèges.
Au début du mois, Cisco a corrigé plusieurs vulnérabilités dans l’interface de gestion Web de certains téléphones IP Cisco qui pourraient permettre à un attaquant distant non authentifié d’exécuter du code arbitraire ou de provoquer un déni de service. Avec un score CVSS de 9,8, le pire est CVE-2023-20078, une vulnérabilité dans l’interface de gestion Web des téléphones multiplateformes Cisco IP Phone 6800, 7800 et 8800.
Un attaquant pourrait exploiter cette vulnérabilité en envoyant une requête spécialement conçue à l’interface de gestion Web, a déclaré Cisco, ajoutant : “Un exploit réussi pourrait permettre à l’attaquant d’exécuter des commandes arbitraires sur le système d’exploitation sous-jacent d’un appareil affecté”.
Firefox
Mozilla, développeur soucieux de la confidentialité, a publié Firefox 111, corrigeant 13 vulnérabilités, dont sept sont considérées comme ayant un impact élevé. Celles-ci incluent trois failles dans Firefox pour Android, y compris CVE-2023-25749, qui peuvent avoir entraîné l’ouverture d’applications tierces sans invite.
Pendant ce temps, deux bogues de sécurité de la mémoire, CVE-2023-28176 et CVE-2023-28177, ont été corrigés dans Firefox 111. « Certains de ces bogues ont montré des preuves de corruption de la mémoire, et nous supposons qu’avec suffisamment d’efforts, certains d’entre eux auraient pu être exploité pour exécuter du code arbitraire », a déclaré Mozilla.
SÈVE
C’est un autre mois de grosses mises à jour pour le fabricant de logiciels SAP, qui a publié 19 nouvelles notes de sécurité dans son guide du jour du patch de sécurité de mars. Les problèmes résolus au cours du mois incluent quatre avec un score CVSS supérieur à 9.
L’une des pires d’entre elles est CVE-2023-25616, une vulnérabilité d’injection de code dans SAP Business Objects Business Intelligence Platform. Cette vulnérabilité dans la Central Management Console permet à un attaquant d’injecter du code arbitraire avec un “fort impact négatif” sur l’intégrité, la confidentialité et la disponibilité du système, a déclaré la société de sécurité Onapsis.
Enfin, avec un score CVSS de 9,9, CVE-2023-23857 est un bogue de contrôle d’accès inapproprié dans SAP NetWeaver AS pour Java. “La vulnérabilité permet à un attaquant non authentifié de se connecter à une interface ouverte et d’utiliser une API de nommage et d’annuaire ouverte pour accéder aux services”, a déclaré Onapsis.
